CC BY
1716. Heaven S. et al. Mercury in the River Nura and its floodplain, Central Kazakhstan: I. River sediments and water. Science of The Total Environment, 2000. 260 (1-3): P. 35-44.
7. Yin B. et al. Electrochemical Synthesis of Silver Nanoparticles under Protection of Poly(N-vinylpyrrolidone). The Journal of Physical Chemistry B, 2003. 107(34): P. 88988904.
8. Jung Y.K.,. Kim J.I. and Lee J.-K. Thermal Decomposition Mechanism of Single-Molecule Precursors Forming Metal Sulfide Nanoparticles. Journal of the American Chemical Society, 2010. 132(1): P. 178-184.
9. Jia H. et al. Preparation of silver nanoparticles by photo-reduction for surface-enhanced Raman scattering. Thin Solid Films, 2006. 496(2): P. 281-287.
10. Kumar A., Aerry S. and Goia D.V. Preparation of concentrated stable dispersions of uniform Ag nanoparticles using resorcinol as reductant. Journal of Colloid and Interface Science, 2016. 470: P. 196-203.
ПРИНЦИП РАБОТЫ И ТИПОВАЯ СТРУКТУРА СРЕДСТВ УПРАВЛЕНИЯ СОБЫТИЯМИ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Золотухин А.В.1, Тимохович А.С.2
1Золотухин Алексей Витальевич - специалист, направление: информационная безопасность телекоммуникационных систем; 2Тимохович Александр Степанович - кандидат педагогических наук, доцент; кафедра безопасности информационных технологий, институт информатики и телекоммуникаций Сибирский государственный университет науки и технологий им. академика М. Ф. Решетнёва,
г. Красноярск
Аннотация: в статье описано одно из перспективных направлений в области информационной безопасности - средства управления событиями безопасности информации (SIEM), а также показана его типовая структура.
Ключевые слова: средства управления событиями безопасности информации, SIEM, типовая структура, AlienVault OSSIM.
SIEM совмещает системы управления информационной безопасностью (SIM) и управления событиями безопасности. Первая фокусируется на анализе и оповещении по данным журнала событий и долговременного хранилища, действие второй направлено на анализ в реальном времени и корреляцию. SIEM способна выявлять:
1) сетевые атаки во внутреннем и внешнем периметрах;
2) вирусные эпидемии или отдельные вирусные заражения, неудаленные вирусы, бэкдоры и трояны;
3) попытки несанкционированного доступа;
4) попытки фрода и мошенничество;
5) уязвимости, локальные ошибки и сбои в работе информационных систем;
6) ошибки конфигураций в средствах защиты и информационных системах [1]. На рисунке 1 (типовая структура средства управления событиями безопасности
информации) представлены источники для записей системного журнала: маршрутизаторы, серверы, межсетевые экраны, приложения и т.д. AlienVault, к примеру, использует «Сенсоры», которые следят за определенной частью сети и
снабжает центральное ядро SIEM коррелированной информацией от нескольких устройств. Другие SIEM приложения также могут быть источником событий [2].
Рис. 1. Структура полной SIEM среды
Источник может быть снабжен агентом. Агент - составляющая программы, расширение или плагин, предоставленный SIEM, который выполняет функции переноса и преобразования записей системного журнала от целевой системы в коллектор SIEM. Ключевые особенности таких агентов: способность префильтрации записей системного журнала, основываясь на их степени опасности, и способность структурировать входящие данные для более простой работы логгера. Агенты передают записи по специально отведенному защищенному каналу.
Альтернативное решение - безагентная система. Устройство безагентового принятия решения способно самостоятельно передавать записи системного журнала коллектору, что снижает нужду в установке агента. Когда агенты недоступны, то существует возможность настройки устройства таким образом, что коллектор самостоятельно собирает записи системного журнала через Интернет. Плюс безагентной системы заключается в том, что устройство продолжает работает без изменения системы в нем, однако стоит понимать, что передаваемые записи журнала событий не будут зашифрованы и сжаты на хосте до того момента, пока среда SIEM не обработает их.
Сборщик записей журнала событий обычно использует EPS (Event Per Second) как индикатор количества событий, который генерируются устройством в секунду.
Существуют следующие EPS:
1) среднее EPS;
2) все пиковые EPS - показывает число событий за секунду во время атаки (к примеру, DDoS);
3) среднее по пиковым EPS - определяет сколько событий генерирует атака в среднем.
Для определения EPS необходимо определить PE (Peak Events) и NE (Normal Events) за секунду. Данные два числа крайне важны, так как коллектор, логгер и приложения SIEM могут обрабатывать ограниченное количество событий за секунду. Категорирование событий позволяет снизить нагрузку.
Коллекторы - посредники между приложениями SIEM и агентами сети (к примеру, ранее упомянутый «Сенсор»). Коллекторы способны к корреляции, но обычно они занимаются процессом структурирования записей системного журнала для приложений SIEM. Если существует возможность, то информация коллектора комбинируется вместе с вход ходящей информацией агента. После классификации записи журнала передаются в логгер, либо непосредственно в среду SIEM. Коллекторы могут быть обособлены, либо входить в состав приложения.
Логгеры обеспечивают управление записями системного журнала, сохраняя, защищая и подписывая их для последующего анализа в соответствии с PCI DSS [3].
В отличие от SIEM приложений, функционирование логгеров преимущественно сконцентрировано на хранении данных, а не на их анализе.
SIEM приложения являются ядром SIEM системы. Они решают следующие задачи:
1) оценка рисков;
2) корреляция событий;
3) сканирование уязвимостей;
4) извлечение данных;
5) мониторинг в реальном времени.
Приложения генерируют и показывают отчеты пользователям системы.
Обработка данных в SIEM среде производится при помощи записей журнала событий. Агенты SIEM могут обрабатывать различные типы входящих записей журналов событий. К примеру, SIEM можно обрабатывать syslog (отчеты Unix и Linux подобных систем), данные с SNMP, для Windows используются NtSyslog или Snare, которые работают по принципу syslog.
Стоит понимать, что не все поддерживаемые протоколы агентами SIEM зашифрованы по умолчанию, потому для связи агентов и приложений SIEM используются зашифрованные каналы (stunnel, shh, openVPN, NAT или любой другой удаленный шифровальный метод).
Агенты посылают записи журнала событий на SIEM сервер, где происходит их категорирование. К примеру, AlienVault использует следующее разделение событий:
1) "Normal" events: стандартные события, которые регулярно приходят от агентов со всех узлов сети;
2) OS events: данные события обычно приходят с p0f датчиков. p0f - пассивный механизм операционной системы для снятия отпечатков трафика. p0f идентифицирует систему на машине, которая устанавливает соединение, машину, к которой было сделано соединение и, по возможности, машину-посредника. Данные события постоянно мониторят состояние системы в сети. Изменения могут говорить о возможной атаке;
3) MAC events: данные события обычно приходят от arpwatch. arpwatch следит за состоянием MAC адреса определенного IP. Изменения MAC может говорить об атаках L2 уровня;
4) Service events: данные события следят за актуальностью базы данных SIEM и обновляют её по открытым портам в развернутых сетевых машинах, что позволяет осуществлять кросс-корреляцию и хранить данные обо всех машинах в сети.
После получения и категорирования событий, применяются конкретные политики. Существует два типа политик. Первый - генеральная серверная политика, которая применяется к каждому входящему событию. Второй - специальные политики для определенных событий, они используются для фильтрации событий и упрощения работы оператора с мульти уровневой SIEM системой.
Корреляция применяется для снижения числа ложных срабатываний системы. Существует несколько типов использующихся корреляций:
1) кросс-корреляция - применяется для событий, которые имеют маршрут. Она проверяет наличия известных уязвимостей для конкретного маршрута. Если таковой имеется, то кросс-корреляция переопределит приоритет;
2) инверторная корреляция. В данный класс входят ОС-, порт-, протокол-, сервис-корреляции. Чем больше совпадений будет найдено, тем более высокий приоритет будет назначен;
3) логическая корреляция - позволяет повысить эффективность систем обнаружения без спецификации атаки (используется в комбинациях типа «если произошло событие А, тогда рассмотреть событие B и т.д.).
Каждый тип коррелирует между событиями и нацеленными уязвимостями, событиями и характеристиками системы, событиями системы и событиями от других источников. Каждая из корреляций способна изменить приоритет и вероятность события, после чего происходит оценка рисков. Оценка рисков строится на трех факторах: приоритет, вероятность, ценность системы [4].
Список литературы
1. Что такое SIEM? [Электронный ресурс]. Режим доступа: http://blog.ptsecurity.ru/2012/10/siem.html/ (дата обращения: 10.03.2017).
2. Configuring a USM Appliance Sensor [Электронный ресурс]. Режим доступа: https://www.alienvault.com/documentation/usm-appliance/initial-setup/configuring-usm-sensor.htm/ (дата обращения: 21.09.2017).
3. Payment Card Industry (PCI) Data Security Standard v 3.2 [Электронный ресурс]. Режим доступа: https://www.pcisecuritystandards.org/documents/PCI_DSS_v3 -2.pdf?agreement=true&time= 1505981421473/ (дата обращения: 21.09.2017).
4. Radboud University Nijmegen "Security Information and Event Management". Master Thesis on the methodology, implementation challenges, security issues and privacy implications concerning SIEM environments in large retail organizations. Sander Dorigo August 28, 2012.
ИСПОЛЬЗОВАНИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ В
ПРОЦЕССЕ ДИЗАЙН-ПРОЕКТИРОВАНИЯ
1 2 Сейтказиева Н.С. , Ниязмаметова С.А.
1Сейтказиева Назгул Cалбаровш - старший преподаватель, ОКСЮ: 0000-0002-3741-4376; 2Ниязмаметова Сахинур Абликимовна - старший преподаватель, 0КСЮ:0000-0002-9904-5908, Колледж Кыргызского государственного университета им. И. Арабаева, г. Бишкек, Кыргызкая Ресбублика
Аннотация: в современном обществе информационные технологии находятся в постоянном развитии. Обосновывается необходимость овладения и применения современных компьютерных технологий для представления творческого замысла,
